Далее в этой статье расположен список способов устранения таких ошибок. После списка для каждого способа представлен подробный перечень подлежащих выполнению действий. Используйте способы по очереди до полного устранения проблем. В конце статьи приведен перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.

Способ 1. Исправление ошибок в службе доменных имен (DNS)

Способ 2. Синхронизация времени компьютеров

Способ 3. Проверка наличия права Доступ к компьютеру из сети

Способ 4. Проверка значения атрибута userAccountControl на контроллере домена

Способ 5. Исправление сферы Kerberos (параметры реестра PolAcDmN и PolPrDmN совпадают)

Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos

Способ 1. Исправление ошибок в DNS

1.	В командной строке введите netdiag -v. В папке, из которой был произведен запуск, эта команда создает журнал Netdiag.log.
2.	Перед тем как перейти к выполнению последующих действий, устраните все ошибки DNS, содержащиеся в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server. Кроме того, загрузить средства поддержки Windows 2000 Server можно с веб-узла корпорации Майкрософт по следующему адресу: http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.asp
3.	Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS: контроллер домена указывает для разрешения имен DNS на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, который поддерживает динамическое обновление и записи SRV. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, который поддерживает динамическое обновление и записи SRV. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета

Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт.

Способ 2. Синхронизация времени компьютеров

Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.

Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт.

Способ 3. Проверка наличия права «Доступ к компьютеру из сети»

Проверьте файл Gpttmpl.inf и убедитесь, что соответствующим пользователям предоставлено право Доступ к компьютеру из сети на контроллере домена. Для этого выполните следующие действия.

1.	Внесите изменения в файл Gpttmpl.inf политики по умолчанию для контроллеров домена. Права пользователей на контроллере домена, как правило, определяются в составе политики по умолчанию для контроллеров домена. Файл Gpttmpl.inf политики по умолчанию для контроллеров домена располагается в следующей папке. Примечание. Папка Sysvol может находиться в другом месте, однако путь к файлу Gpttmpl.inf остается неизменным. Контроллеры домена под управлением Windows Server 2003: C:\WINDOWS\Sysvol\Sysvol\<имя_домена>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf Контроллеры домена под управлением Windows 2000 Server: C:\WINNT\Sysvol\Sysvol\<имя_домена>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
2.	Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп «Администраторы», «Прошедшие проверку» и «Все». См. следующие примеры. Контроллеры домена под управлением Windows Server 2003: SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0 Контроллеры домена под управлением Windows 2000 Server: SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0 Примечание. Группы «Администраторы» (S-1-5-32-544), «Прошедшие проверку» (S-1-5-11), «Все» (S-1-1-0) и «Контроллеры домена предприятия» (S-1-5-9) имеют хорошо известные одинаковые для любого домена идентификаторы безопасности.
3.	Удалите все данные справа от записи SeDenyNetworkLogonRight (Отказ в доступе к компьютеру из сети). См. следующий пример. SeDenyNetworkLogonRight = Примечание. Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003. По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_произвольная_строка. (Учетная запись Support_произвольная_строка используется удаленным помощником.) Поскольку учетная запись Support_произвольная_строка имеет в каждом домене уникальный идентификатор безопасности (SID), ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте идентификатор SID в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (его можно будет скопировать обратно после устранения проблемы). Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если выполнение описанных выше действий не приводит к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для политики по умолчанию для контроллеров домена.

Способ 4. Проверка значения атрибута userAccountControl на контроллере домена

1.	В меню Пуск выберите пункт Выполнить и введите команду adsiedit.msc.
2.	Последовательно разверните узлы Domain NC, DC=имя_домена и OU=Domain Controllers.
3.	Щелкните правой кнопкой мыши контроллер домена и выберите команду Properties.
4.	На компьютере под управлением Windows Server 2003 установите на вкладке Attribute Editor флажки Show mandatory attributes и Show optional attributes. На компьютере под управлением Windows 2000 Server выберите значение Both в списке Select which properties to view.
5.	На компьютере под управлением Windows Server 2003 выберите в списке Attributes атрибут userAccountControl. На компьютере под управлением Windows 2000 Server выберите атрибут userAccountControl в списке Select a property to view.
6.	Если значение атрибута не равно 532480, введите 532480 в поле Edit Attribute, и последовательно нажмите кнопки Set, Apply и OК.
7.	Закройте оснастку ADSI Edit.

Способ 5. Исправление сферы Kerberos (параметры реестра PolAcDmN и PolPrDmN совпадают)

Примечание. Этот способ применим только к Windows 2000 Server.
Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

1.	Откройте редактор реестра.
2.	На левой панели разверните узел HKEY_LOCAL_MACHINE\SECURITY.
3.	В меню Безопасность выберите команду Разрешения, чтобы предоставить локальной группе «Администраторы» право полного доступа к кусту SECURITY, а также вложенным в него объектам и контейнерам.
4.	Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
5.	На правой панели один раз щелкните параметр <Без имени>: REG_NONE
6.	В меню Вид выберите команду Вывод двоичных данных. В разделе Формат выберите вариант 1 байт.
7.	В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos.
8.	Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
9.	На правой панели два раза щелкните параметр <Без имени>: REG_NONE.
10.	В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена).
11.	Перезагрузите контроллер домена.

Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos

1.	Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска «Вручную».
2.	С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера: netdom resetpwd /server:другой контроллер домена /userd:domain\administrator /passwordd:пароль администратора Убедитесь, что появилось сообщение об успешном выполнении команды netdom (в противном случае ожидаемый результат достигнут не был). Для домена Contoso, в котором контроллер домена, где наблюдаются проблемы, называется DC1, а работающий контроллер домена — DC2, с консоли DC1 необходимо запустить команду netdom следующего вида: netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:пароль администратора
3.	Перезагрузите контроллер домена, на котором наблюдаются проблемы.
4.	Запустите службу центра распространения ключей Kerberos и выберите для нее тип запуска Авто.

Дополнительные сведения

см. в следующих статьях базы знаний Майкрософт.